セキュリティ

https化してないWEBサイトは10月からGoogleChromeで閲覧すると警告表示が強化される

2017.08.18
この記事は約3分で読めます。

保護されていませんWEBブラウザのGoogleChromeは10月にバージョン62にアップデートが予定されている。そのさいにセキュリティに関しては大幅に強化されるようだ。例えば、メールフォームなど入力を求めるページでhttps化されていないと「保護されていません」という警告がアドレスバーの横に表示される。https化(常時SSL対応)は時代の流れである。未対応のWEBサイトはすみやかに対応しよう。

▼「保護されていません」と表示されているアドレスバー
httpshogosareteinai.jpg

上記の画像は現在のもの。10月からはさらに強化され、フォームであればすべてこのように「保護されていません」という表示になる。いずれは、すべてのhttpページが「保護されていません」という表示になることが予定されている。いまや常時SSLでないとWEBサイト運営は難しくなってきている。

▼Googleからの警告メール
httpskeikokugoogle.jpg

httpsに対応していないWEBサイトのサーチコンソール管理者には上記のような警告メッセージが送られている。以下はその要点の引用。

2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。

貴サイトでは、たとえば以下に示す URL に、Chrome の新しい警告が表示されるテキスト入力フィールド(< input type=”text” >、< input type=”email” > など)が見つかりました。これらの例を参考にどのページで警告が表示されるかを確認し、ユーザーデータを保護するための措置を講じていただきますようお願いいたします。なお、下の URL の一覧は、すべてを網羅したものではありませんのでご注意ください。

長期的には、HTTP で配信されるすべてのページを「保護されていません」と明示することを計画しており、この新しい警告はその一環です。

HTTPS とは

HTTPS(Hypertext Transfer Protocol Secure)は、ユーザーのパソコンとサイトの間で送受信されるデータの完全性と機密性を確保できるインターネット接続プロトコルです。ユーザーはウェブサイトにアクセスするとき、安全でプライベートにオンラインを利用していると考えています。サイトのコンテンツに関係なく、ユーザーによるウェブサイトへの接続を保護するために、HTTPS を採用することをおすすめします。

HTTPS で送信されたデータは、トランスポート レイヤ セキュリティ(TLS)プロトコルで保護されます。このプロトコルでは主に 3 つの保護レイヤを提供します。

暗号化 – 通信データの暗号化によって、盗聴から保護されます。つまり、ユーザーがウェブサイトを閲覧している間、誰かがそのやり取りを「聞き取る」こと、複数ページにわたるユーザーの操作を追跡すること、情報を盗むことはいずれも阻止されます。
データの完全性 – データの転送中に、意図的かどうかを問わず、データの改ざんや破壊が検出されずに行われることはありません。
認証 – ユーザーが意図したウェブサイトと通信していることが保証されます。中間者攻撃から保護され、ユーザーの信頼を得て、ビジネス上の他の利益につなげることができます。

httpsについてはhttps://support.google.com/webmasters/answer/6073543?utm_source=wnc_10038795&utm_medium=gamma&utm_campaign=wnc_10038795&utm_content=msg_100078324&hl=jaからの引用